Det börjar med ett Word-dokument som innehåller ett VBA-skript och som exekverar ett makro direkt efter att dokumentet öppnas med funktionerna "Autopen" och "DocumentOpen". Makroskriptet fungerar därefter som en kanal för att leverera en tillfällig nyttolast från en fjärrserver, som också laddar ned Lokibot och ansluter till en extern server.

När Lokibot väl har infekterat ett system kan trojanen snabbt börja logga tangentbordstryckningar, ta skärmdumpar, samla inloggningsuppgifter från webbläsare och stjäla data från olika kryptovaluta-plånböcker.

Funktionerna i Lokibot har utvecklats med tiden, vilket gör det enkelt för cyberbrottslingar att använda den för att stjäla känsliga data från offer. Angriparna bakom Lokibot uppdaterar kontinuerligt sina metoder, för att programvara ska hitta mer effektiva sätt att sprida och infektera system.

– Att nätverken bakom den här typen av trojaner är snabba på att anpassa sig är något vi har sett många gånger tidigare. Man håller ständigt koll på uppdateringar och är också duktiga på att utnyttja aktuella händelser för att lura offer. Just Lokibot används vanligtvis vid nätfiske. Det handlar som alltid att vara medveten om vad som är misstänkta utskick och flagga dessa till behöriga avdelningar, säger Andreas Gotthardsson, director systems engineering på Fortinet i Sverige.

Lokibot, även känd som Loki PWS, är en ökänd trojan som stjäl information och som varit aktiv sedan 2015. Trojanen riktar sig främst till Windows-system för att samla in känslig information från infekterade maskiner.